Large Bin Attack

Naučite i vežbajte hakovanje AWS-a:HackTricks Obuka AWS Crveni Tim Stručnjak (ARTE) Naučite i vežbajte hakovanje GCP-a: HackTricks Obuka GCP Crveni Tim Stručnjak (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Za više informacija o tome šta je velika bina, pogledajte ovu stranicu:

Bins & Memory Allocations

Moguće je pronaći odličan primer u how2heap - napadu na veliku binu.

U osnovi, ovde možete videti kako, u najnovijoj "trenutnoj" verziji glibc-a (2.35), nije provereno: P->bk_nextsize omogućavajući da se modifikuje proizvoljna adresa sa vrednošću velike binarne čestice ako su ispunjeni određeni uslovi.

U tom primeru možete pronaći sledeće uslove:

Dodeljen je veliki blok
Dodeljen je veliki blok manji od prvog ali na istom indeksu
Mora biti manji tako da u bini mora ići prvo
(Stvoren je blok kako bi se sprečilo spajanje sa vršnim blokom)
Zatim, prvi veliki blok se oslobađa i dodeljuje se novi blok veći od njega -> Blok1 ide u veliku binu
Zatim, drugi veliki blok se oslobađa
Sada, ranjivost: Napadač može da modifikuje chunk1->bk_nextsize u [cilj-0x20]
Zatim, dodeljen je veći blok od bloka 2, tako da blok2 bude ubačen u veliku binu prepisivanjem adrese chunk1->bk_nextsize->fd_nextsize sa adresom bloka2

Postoje i druge potencijalne scenarije, bitno je dodati u veliku binu blok koji je manji od trenutnog X bloka u bini, tako da treba da bude ubačen odmah pre njega u bini, i moramo biti u mogućnosti da modifikujemo X-ov bk_nextsize jer je to gde će adresa manjeg bloka biti upisana.

Ovo je relevantan kod iz malloc-a. Dodati su komentari kako bi se bolje razumelo kako je adresa prepisana:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Ovo se može koristiti za prepisivanje globalne promenljive global_max_fast libc-a kako bi se zatim iskoristio napad brzim binom sa većim blokovima.

Možete pronaći još jedno odlično objašnjenje ovog napada na guyinatuxedo.

Ostali primeri

La casa de papel. HackOn CTF 2024
Napad velikim binom u istoj situaciji kako se pojavljuje u how2heap.
Pisanje primitiva je složenije, jer je global_max_fast beskoristan ovde.
Potreban je FSOP da bi se završio eksploatacija.

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousUnsorted Bin Attack NextTcache Bin Attack

Last updated 4 months ago

Osnovne informacije

Za više informacija o tome šta je velika bina, pogledajte ovu stranicu:

Bins & Memory Allocations

U tom primeru možete pronaći sledeće uslove:

Dodeljen je veliki blok

Dodeljen je veliki blok manji od prvog ali na istom indeksu

Mora biti manji tako da u bini mora ići prvo

(Stvoren je blok kako bi se sprečilo spajanje sa vršnim blokom)

Zatim, prvi veliki blok se oslobađa i dodeljuje se novi blok veći od njega -> Blok1 ide u veliku binu

Zatim, drugi veliki blok se oslobađa

Sada, ranjivost: Napadač može da modifikuje chunk1->bk_nextsize u [cilj-0x20]

Zatim, dodeljen je veći blok od bloka 2, tako da blok2 bude ubačen u veliku binu prepisivanjem adrese chunk1->bk_nextsize->fd_nextsize sa adresom bloka2

Ovo je relevantan kod iz malloc-a. Dodati su komentari kako bi se bolje razumelo kako je adresa prepisana:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Ovo se može koristiti za prepisivanje globalne promenljive global_max_fast libc-a kako bi se zatim iskoristio napad brzim binom sa većim blokovima.

Možete pronaći još jedno odlično objašnjenje ovog napada na guyinatuxedo.

Ostali primeri

La casa de papel. HackOn CTF 2024

Napad velikim binom u istoj situaciji kako se pojavljuje u how2heap.

Pisanje primitiva je složenije, jer je global_max_fast beskoristan ovde.

Potreban je FSOP da bi se završio eksploatacija.